《一、前言》

一、前言

网络空间建构在由信息技术基础设施构成的相 互依赖的网络之上,是在线交流发生的载体,包括 在各行业中所使用的互联网、电信网、计算机系统, 以及嵌入式的处理器和控制装置等。从更广泛的角 度讲,网络空间通常还用于描述信息所处的数字环 境,即人、机、物构成的大环境及其中各要素之间 的各类交互联系。

网络空间安全是一种确保网络空间能抵御有意 或无意的网络威胁,并具备风险管理、应急响应、 快速恢复等的安全能力,是一种确保将网络空间风 险控制在一个可接受的最小程度的保护状态。网络 空间安全涉及的安全要素很广泛,既包括传统信息 安全中经典的机密性、认证性、完整性、非否认 性、可用性、可控性等技术要素,还包括用以保护 网络环境、机构及用户资产的各种工具、安全管理、 安全科研教育、法律法规、技术标准、国家战略 等要素 [1]。

“十二五”期间中华人民共和国工业和信息化部出台了《信息安全产业“十二五”发展规划》, 为我国网络空间安全产业的蓬勃发展奠定了基础, 核心技术产品研发取得一定突破,形成一批掌握自 主知识产权的龙头企业,自主可控的产业链初具规 模 [2]。2014 年 9 月,李克强总理在夏季达沃斯论坛 上提出“大众创业、万众创新”。在日新月异、极 度看重技术价值的网络空间安全领域,这大大激发 了企业和从业人员的创新热情。2015 年 6 月“网络 空间安全”被列为国家一级学科,我国网络空间安 全产业环境进一步完善,同时有望填补我国网络空 间安全专业人才的巨大缺口。首部《网络安全法》 草案于 2015 年 7 月公布,标志着网络空间安全已 上升到国家战略层面 [3]。这些政策层面的布局,标 志着我国网络空间安全事业迎来了重大历史发展机 遇,也为“十三五”期间网络空间安全产业的发展 奠定了良好的基础。

《二、 网络空间安全产业的概念及范畴》

二、 网络空间安全产业的概念及范畴

今日世界,网络空间已不再仅仅是虚拟空间, 而是人类共同的活动空间。网络空间中发生的一切, 与国家、民族和我们每个人,从未如此密切相关。 为了认识好、利用好、建设好网络空间,促进其健 康有序发展,必须维护网络和平安全。网络空间安 全产业是国家网络安全的支撑,可为国家、企业和 公共等各类信息系统提供可持续的安全技术、安全 产品和安全服务。

随着网络技术的不断发展,网络空间安全的环 境和态势也发生了巨变。一是由于政治、经济和意 识形态等因素的影响,网络攻击者的动机发生了变 化,由追求技术突破的炫耀,转向基于功利性的目 标驱使;二是网络攻击者的目标更加明确、具体, 且有从个人的单打独斗逐步发展成有技术、有支撑 背景、有经济实力的有组织行为的趋势;三是网络 攻击范围的扩展,已由通用网络向专有网络扩展; 四是大数据、云计算等新一代信息技术的应用在带 来正面效应的同时,也对网络安全提出了新的挑战。 面对着内容覆盖广泛、手段复杂多变的网络空间安 全形势,网络空间安全产业牵涉极多。底层基础方 面,包括元器件提供商、安全芯片提供商、安全系 统软件提供商、开发工具提供商;中间一级,包括 安全设备提供商、安全应用软件提供商;更高层次 上,包括安全集成提供商,以及专业安全服务提供 商。目前,软、硬件产品提供商仍是产业链价值最 高环节,但随着网络空间安全形势、安全防御理念 的变化,网络空间安全产业已经呈现由单一产品向 整体安全防御解决方案转变,由软、硬件产品向安 全防御应用和服务转变的趋势。

《三、 网络空间安全产业发展现状分析》

三、 网络空间安全产业发展现状分析

2014 年 2 月,中央网络安全和信息化领导小组 正式成立,由习近平总书记亲自担任组长。领导小 组统筹协调各个领域网络安全和信息化重大问题, 网络空间安全产业的发展得到政策环境的大力支 持。全国人民代表大会于 2015 年公布了《中华人 民共和国网络安全法(草案)》,我国网络安全法律 法规体系进入迅速完善的快车道,产业环境逐步优 化,产业规模迅速增长,自主可控技术产品取得一 系列突破,市场份额增大,安全体系和标准化方面 的工作进步显著。

《(一)网络空间安全产业发展总体现状》

(一)网络空间安全产业发展总体现状

面对日益严峻的网络空间安全形势,一方面, 世界各主要大国纷纷将网络空间安全上升为国家 战略,国家间围绕网络空间的角力与博弈呈常态 化;另一方面,巨大的经济诱惑使黑客组织产业 化,网络入侵规模化。网络空间安全事件频发, 国家重要信息系统、企业信息系统以及公众隐私 受到严重威胁,这一切都极大地催化了全球网络 空间安全产业的发展。2014 年全球信息安全产业 规模达到 1 383.08 亿美元,比去年同期增长 9.7 % (见表 1),其中网络监管、信息基础设施安全防护、 企业信息安全体系建设、数据安全等成为主要发 展推动力 [4]。

我国网络空间安全产业起步较晚,但增速可人。 2011 年年底,《信息安全产业“十二五”发展规划》 印发,国家关键基础设施信息系统、企业信息系统、 个人隐私网络安全等方面的需求,为我国网络空间 安全产业迅猛发展提供了动力,2014 年产业规模达 到 321.28 亿元人民币,比上年增长 21 %(见表 1)[4]。

表 1  2012—2014 年信息安全产业规模及增长率 [4]

《表 1》


《(二)自主可控产业链发展现状 》

(二)自主可控产业链发展现状

我国大力推进网络空间安全领域的自主创新发 展,2014 年国家颁布了一系列文件。在银行、电信、 互联网等行业推进自主可控关键软、硬件应用,建立自主可控信息技术长效机制,提倡政府部门采用 国产操作系统,并逐步向商用和民用领域推广 [5,6]。

积极的政策环境促进自主可控产业链日趋完善。 在信息基础设施、基础软件、信息安全产品、应用 软件、网络安全服务等行业,涌现出一批龙头企业, 如龙芯中科技术有限公司、浪潮集团有限公司、中 标软件有限公司、启明星辰信息技术有限公司、卫 士通信息产业股份有限公司、北京神州绿盟信息安全 科技股份有限公司、北京北信源软件股份有限公司等。 它们的共同特点是自主知识产权程度较高。虽然其技 术和产品与国外同类相比存在一定差距,但基本可以 实现对国外产品的替代。企业的发展壮大,较好地带 动了产业集群发展,企业自发建立产业联盟,形成联 合开发、优势互补、利益共享、风险共担的战略合作 组织,打造了良好的自主可控产业生态圈,推动自主 可控产业链整体向前持续发展。

《(三)网络空间安全技术和产品的发展现状》

(三)网络空间安全技术和产品的发展现状

伴随新一代信息产业的发展,在国家科技专项 的持续支持下,在应用需求的牵引下,网络空间安 全技术和产品逐步成熟。

近年来,我国在安全芯片、安全操作系统等 基础技术的研发和产业应用上取得了一定的突破 和进展,尤其是在自主密码技术、安全认证技术 以及可信计算技术上进步明显。我国商用密码产 品与技术体系已经基本成熟,已拥有自主知识产 权和高安全性的全系列商用密码算法。国云科技 联合中科院云计算中心研制的面向政府和企业客 户的 G-Cloud 云操作系统,拥有自主知识产权, 通过了国家信息安全评测中心最高安全级别认证, 是近年来我国网络空间安全领域自主、安全、可 控技术产品的重大突破。

《(四)网络空间安全服务的发展现状》

(四)网络空间安全服务的发展现状

网络空间安全是综合性问题,国家级和企业级 用户需求已从单一产品向有针对性的、面向行业的 网络空间安全解决方案转变,产业的核心价值正在 从“产品和技术”向“应用和服务”转变。安全硬 件产业比重逐渐下降,软件与安全服务比重上升, 2014 年,全球网络空间安全硬件产业占比下降至 45.4 %(见表 2),安全软件和安全服务产业占比超 过一半;同期我国网络空间安全产业中,安全硬件 仍占比过半,服务产业占比为 8.7 %。与全球网络 安全服务产业占比 20.4 % 的规模相比,还存在很 大差距 [4]。

表 2  2014 年信息安全产业产品结构 [4] /%

《表 2 》

《(五)网络空间安全标准的发展现状》

(五)网络空间安全标准的发展现状

我国网络空间标准化工作取得显著成效,正在 逐步融入国际体系。至 2014 年 10 月,信息安全标 准委员会正式发布国家标准 142 项,范围涵盖信息 安全基础、安全技术与机制、安全管理、安全评估 以及保密、密码和通信安全等多个领域,有力地保 障了国家和社会的网络安全。信息安全标准体系的 逐步完善,为我国各项信息安全保障工作,例如, 云计算服务网络安全管理、政府信息系统安全检查、 信息系统安全等级保护、信息安全产品检测与认 证及市场准入等,提供了强有力的技术支撑和重 要依据 [7]。

《四、我国网络空间安全产业发展问题及趋势 分析》

四、我国网络空间安全产业发展问题及趋势 分析

《(一)我国网络空间安全产业发展面临的问题分析》

(一)我国网络空间安全产业发展面临的问题分析

(1)多头管理、职责分散。我国已设立网络安 全和信息化领导小组,并下设办公室,但由于网络 空间安全领域涉及行业众多,统一协调的工作难度 确实较大。此外我国网络空间安全领域存在多头管 理现象,多个部门涉及信息安全产业管理,导致决策权分散、规则冲突、操作效率低、执行难度大, 对重大网络空间安全问题、核心安全技术的研究工 作难以形成合力,我国网络空间安全产业发展面临 瓶颈。

(2)产业发展滞后于需求增长。《信息安全产 业“十二五”发展规划》产业目标指出:到“十二五” 期末形成 30 家信息安全业务收入过亿元企业,力 争培育出信息安全业务收入达 50 亿元的骨干企业。 以目前行业内的骨干企业规模来看,这一目标较难 达到 [2]。目前我国缺乏为国家级客户提供网络空间 安全服务、解决国家级网络空间安全问题的专属企 业,同时也缺乏提供行业解决方案和完整产品线的 专业网络空间安全企业,缺乏可以带动产业集群发 展的龙头企业。网络空间安全企业在核心技术、关 键产品和服务的创新能力等方面仍存在显著不足, 产业链关键环节尚未有效突破。

(3)自主可控普及任重道远。目前我国重点领 域信息系统中的大部分高端元器件与核心网络设备 仍依赖国外,应用于党政军部门的信息安全管理系 统、操作系统、数据库、服务器等设备的国产化率 仍然较低,自主可控软、硬件尚未得到广泛的普及 和认可,应用推广任重而道远。系统应用核心软、 硬件设备的自主化突破已成为必须攻克的战略性 课题。同时自主可控软、硬件产品在技术、产品 稳定性、兼容性、技术规范、标准化等方面与国外 同类产品存在一定差距,以自主可控为基础的国产 化替代工作任重道远。

(4)网络空间安全服务业亟需完善。网络空 间安全服务业得到国家的高度重视,传统安全企 业结合自身技术特色,加速向安全服务商转型。 但我国网络空间安全服务体系不完备、缺乏规范, 安全服务业依旧是我国网络空间安全产业的薄弱 环节。我国既缺乏相当规模、高质量的专业安全 服务提供商,又缺乏大量的相关专业人才,体系 化建设的进程缓慢。

(5)产业环境尚需完善。“网络空间安全”获批 国家一级学科和《中华人民共和国网络安全法(草 案)》的颁布,有望补充我国对高层次、复合型专业 安全人才的需求,为网络空间安全实践提供强有力 的制度保障。但目前政策法规方面对创新和知识产 权保护仍显不足,企业间恶性竞争的情况时有发生, 我国网络空间安全产业发展的大环境仍需不断完善。

《(二)“十三五”期间网络空间安全产业发展趋势 分析》

(二)“十三五”期间网络空间安全产业发展趋势 分析

1.网络空间安全产业总体发展趋势

面对网络空间日益严峻的威胁与挑战,我国政 府高度重视网络空间安全产业的发展,不断加大在 电信、金融、能源等国家关键基础设施重要信息系 统的网络空间安全建设,关键领域网络空间安全产 品逐步实现国产化替代,自主创新产品日趋多元化, 网络空间安全产业规模逐年递增。据分析,到 2017 年我国网络空间安全产业规模将达 619.87 亿元人民 (见表 3),产业结构上仍以网络设备等硬件信息安 全基础设施为主,围绕软件、服务的信息安全细分 产业将有不同幅度的增长(见表 4)[4]。

表 3  2015—2017 年中国信息安全产业规模及增长率预测 [4]

《表 3 》

表4  2015—2017 年中国信息安全产业产品比例结构预测 [4]/%

《表4》

2.网络空间安全与新一代信息技术广泛融合

移动互联网领域成为网络空间安全新战场。移 动互联网的安全问题主要涉及移动设备安全、移动 应用安全以及移动环境安全三大方面。工业和信息 化部颁布的文件特别强调“移动应用商店和应用程 序安全管理,督促应用商店建立程序开发者身份信 息验证、应用程序安全检查、恶意程序下架、恶意 程序黑名单、用户监督举报等制度,建立健全移动 应用程序第三方安全检测机制”[5]。移动互联网“云 + 端”的发展模式也为网络空间安全产业的发展带 来了新的机遇,一方面是用户海量隐私信息汇聚云 端,云安全产品及服务需求显著增长;另一方面移 动终端功能(存储、定位、拍摄)日益强大,用户 获取共享信息的能力显著增强,导致对用户监管难 度增加,因此移动互联网舆情监管产品及服务存在 巨大发展机遇。

网络空间安全与大数据互为支撑。大数据技术 的广泛应用催生了新类型的网络空间安全产品。其中一类是利用大数据技术进行安全防御的产品,主 要包括利用大数据技术对网络、终端、数据库、应 用和身份与访问管理系统数据进行被动防御,针对 潜在攻击的主动防御以及用于发现攻击行为的安全 性大数据收集系统等。另外一类是保护大数据应用 安全的产品,主要包括开放化数据环境安全、非结 构化数据存储安全等。

3.网络空间安全与“中国制造 2025”

“中国制造 2025”是中国版的“工业 4.0”,以 全球制造业格局和我国经济发展环境重大变化为背 景,提出我国制造强国建设三个十年的“三步走” 战略。第一个十年的行动纲领中,包括提高国家制 造业创新能力、推进信息化与工业化深度融合、强 化工业基础能力、加强质量品牌建设和全面推行绿 色制造五大重点任务 [8]。

网络空间安全产业是“中国制造 2025”大力 推动的新一代信息技术产业,既是建设“中国制造 2025”的重要任务之一,也是实现这一战略的重要 保障,具体表现在以下几个方面。

(1)网络空间安全是实现自主可控的关键环节。 当前国内自主可控信息系统在处理器、操作系统、 数据库、中间件等关键领域取得了技术突破。软、 硬件间兼容适配、测试验证等工作也全面展开,在 一定范围内进行了规模化应用。然而,目前自主可 控信息系统“标准化、系列化、通用化”发展滞后, 行业内缺乏自主可控产业标准和规范支撑;自主软 件和硬件相对独立开发,相互间的技术协同和融合 不够,导致从底层硬件到上层软件之间的整合优化 不够。这些问题导致应用自主可控信息产品的系统 存在脆弱点与较高的安全风险。一方面需要大力开 展网络空间安全核心技术产品的自主研发工作,加 强系统安全一体化设计;另一方面应大力发展网络 空间安全服务业,开展自主可控信息系统的测试评 估、监测预警、安全维护等高质量专业服务。

(2)网络空间安全是强化工业基础能力的重要 保障。信息化与工业化深度融合是发展的大方向, 其中智能制造是“两化”融合的主攻方向之一。新 型生产方式将逐步实现生产过程智能化,随之而来 的网络空间安全问题也更加严峻,已全面融入企业 研发、生产、管理和服务各个环节;另一方面互联 网在制造领域应用的深化也使得网络空间威胁常态 化。“中国制造 2025”为强化工业基础能力,提出 统筹核心基础零部件、先进基础工艺、关键基础材 料和产业技术基础“四基”发展,突破国外垄断。 但是目前很多核心元器件,如芯片制造等,高水平 的生产线还建在国外,在生产过程中存在被植入后 门,遭受网络空间攻击的风险。我国在推进“四基” 发展建设中,应统筹考虑与网络空间安全的一体化 设计。

(3)提升我国网络空间安全企业品牌。“中国 制造 2025”战略鼓励我国企业追求卓越品质,形成 具有自主知识产权的名牌产品,不断提升企业品牌 价值和中国制造整体形象。近年来,网络空间安全 产业逐步呈现繁荣景象,在市场竞争机制下,相关 企业逐步分化,掌握核心技术产品和服务的网络空 间安全企业在市场竞争中占据主导地位,不良企业 被淘汰,产业格局逐渐明朗;另一方面创新创业的 热潮带来更广阔的互联网发展空间,也为网络空间 安全提供了更多的产业机会。近些年,传统互联网 巨头企业如腾讯计算机系统有限公司、阿里巴巴网 络技术有限公司、百度等公司通过入股或收购中小 信息安全企业布局网络空间安全产业。华为技术有 限公司等设备提供商也利用其在网络设备、软硬件 产品的技术研发优势,不断开发相关网络安全产品。 这些龙头企业的品牌效应以及市场容量有助于其网 络空间安全产品的推广,不失为快速树立我国网络 空间安全产业品牌的一条途径。

《五、促进网络空间安全产业发展的政策建议》

五、促进网络空间安全产业发展的政策建议

《(一)统一国家产业战略规划,建立强大网络空间 安全产业基础》

(一)统一国家产业战略规划,建立强大网络空间 安全产业基础

国家需要统一产业战略规划,统筹考虑我国具 有高水平、自主可控、科学规划的强大网络空间安 全产业基础。通过政府的力量,扶持国家网络空间 安全的产业国家队发展。首先,必须在关键、核心 信息技术和产品上实现突破,提高网络空间安全保 障能力水平,逐步摆脱受制于人的被动局面;其次, 政府要加强对自主可控产业的扶植政策。在事关国 家安全的核心领域,不能单靠市场,也需要政府的 宏观调控,甚至是阶段性的直接支持,要重点扶持 有实力的国内龙头企业,提高中国网络空间安全市 场的战略性地位,使得中国网络空间安全企业可以 立足中国市场向国际市场迈进。

《(二)设立网络空间首席安全官,落实网络空间安 全产业政策与措施》

(二)设立网络空间首席安全官,落实网络空间安 全产业政策与措施

“责任落实”是网络空间安全产业政策和措施 得以落地的先决条件,如《中华人民共和国网络安 全法(草案)》中规定设立网络安全责任人及责任 制等。要重视网络空间首席安全官等网络安全责任 人的设立,并以此明确安全责任制度,使网络空间 安全产业政策和措施能“落实到岗、责任到人”。

《(三)加速网络空间安全标准化工作》

(三)加速网络空间安全标准化工作

结合当前和未来的网络空间安全发展形势,尽 快制定网络空间安全标准,进一步提高标准质量, 积极应对新的突出问题和共性问题。各级政府应积 极研究改进标准化工作,加强对标准研制过程的管 理,加大对重点标准的支持力度,确保标准质量。 建立标准评价机制,将公众和同行的参与度作为标 准评价依据,提高中国标准的被接受程度和影响力。